РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ … › uploads › ckeditor › files ›...
TRANSCRIPT
Для использования данного решения необходимо иметь:
• виртуальное частное облако (VPC), имеющее как минимум две подсети, из которых у каждой есть своя зона доступности;
• балансировщик AWS Elastic Load Balancer (ELB), обслуживающий трафик, поступающий на экземпляры BIG-IP VE;
• пару ключей SSH, необходимую для доступа.
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWSПитер Сильва (Peter Silva), разработчик решений F5 Networks, США
Сегодня мы поговорим о том, как создать и развернуть автоматически масштабируемый файрвол BIG-IP Virtual Edition с использованием шаблона Cloud Formation Template (CFT) в AWS. CFT – это просто быстрый способ развернуть решения из шаблона. Идея CFT заключается в создании для вас виртуальных машин BIG-IP VE. Эти экземпляры работают как файрвол, защищающий ваше приложение. В зависимости от установленных вами ограничений, при увеличении трафика, к вашему приложению будут запущены новые виртуальные машины firewall, а если трафик снизится, то они будут остановлены.
Пункты выше уже готовы, поэтому перейдем к развертыванию шаблона.
У нас есть два возможных подхода к этой процедуре. Можно перейти на AWS Marketplace и поискать там ‘f5 waf’ или перейти на сайт F5 Networks GitHub. На GitHub обычно выкладывается все самое актуальное, поэтому мы воспользуемся именно им.
Кликните по f5-aws-cloudformation.
Потом на ссылку Supported.
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS
А теперь на solutions/autoscale.
Затем waf.
После этого немного пролистаем и перейдем по ссылке Launch Stack.
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS
Нажмем Next на экране Select Template и заполним свой шаблон.
При переходе к шаблону ко всем экземплярам будет добавлено имя Deployment Name, что позволит разобраться, какие из запущенных экземпляров ваши. Поскольку мы уже настроили VPC с двумя подсетями в двух зонах (не регионах), укажем их в поле VPC ID. Restricted Source Address доступен, если вам нужно всего лишь разрешить в своих виртуальных машинах BIG-IP VE конкретные IP-адреса.
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS
После этого указываем имя балансировщика нагрузки AWS Elastic Load Balancer, а затем ваш SSH-ключ – он требуется для подключения к виртуальным машинам. Значения остальных параметров оставляем по умолчанию.
После этого мы попадаем в раздел Auto Scaling Configuration, в котором указываем, когда нужно создавать новые экземпляры WAF. Здесь придется задать пороговые уровни Scale Up и Scale Down Bytes Threshold: они говорят, когда осуществлять пуск/добавление или удаление экземпляра экрана.
В разделе WAF Virtual Service Configuration нужно указать служебный порт и DNS приложения. Кроме того, если вы хотите автоматически добавлять к пулу серверы приложений для обработки трафика без необходимости ручной настройки BIG-IP, то здесь же стоит указать значения Application Pool Tag Values. После этого выбираем WAF Policy Level (низкий, средний, высокий) и дважды кликаем Next.
Кроме того, нужно поставить флажок в ячейке выбора, свидетельствующий о наличии у вас соответствующих параметров доступа для настройки некоторых ролей IAM и создания S3 Bucket. Нажмите Create – CFT начнет создавать ресурсы.
Для выполнения этих действий потребуется около 15 минут. Когда все будет готово, на панели управления появится сообщение CREATE_COMPLETE. Ресурсы могут быть выделены сразу же, но рекомендуется подождать не менее 30 минут, прежде чем углубляться дальше.
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS
Чтобы убедиться, что шаблон CFT создан и подтвердить завершение, нужно перейти к пункту: Services > EC2 > Auto Scaling Groups. Как видно, здесь был создан экземпляр BIG-IP VE, который затем был добавлен в группу. Также нужно помнить о том, что по умолчанию политика масштабирования предусматривает 40-минутное ожидание до запуска нового экземпляра. Этот параметр можно настраивать в соответствии со своими предпочтениями. Но тут следует внести ясность: AWS контролирует трафик постоянно, чтобы знать, не превысили ли вы свои собственные лимиты. Настройка Scaling Policies просто означает, что после запуска одного экземпляра AWS должна выждать 40 минут (или столько, сколько вы указали), прежде чем запустить следующий экземпляр. Этот процесс будет повторяться до достижения указанного максимального количества экземпляров. Мы указали три.
В меню Services > EC2 можно также проверить ELB и убедиться в том, что экземпляр BIG-IP VE запущен и работает. Трафик проходит через балансировщик, а потом через BIG-IP VE на сервер приложения.
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS
И, наконец, давайте посмотрим на список экземпляров в меню Services > EC2 > Instances – все готово к работе!
Теперь, при повышении интенсивности трафика, будет запущен еще один экземпляр. Поскольку лимит был превышен, AWS запустила новые виртуальные машины (не более трех).
При снижении интенсивности трафика виртуальные машины будут остановлены.
Вот и все! С легкостью обеспечьте масштабирование защиты ваших приложений на AWS при помощи BIG-IP. Здесь можно посмотреть демонстрацию процесса на видео.
©2017 F5 Networks, Inc. All rights reserved. F5, F5 Networks, and the F5 logo are trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. Other F5 trademarks are identified at f5.com. Any other products, services, or company names referenced herein may be trademarks of their respective owners with no endorsement or affiliation, express or implied, claimed by F5. 0113
F5 Networks, Inc.401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 f5.com
Europe/Middle-East/[email protected]
Группа компаний БАКОТЕК – официальный дистрибьютор F5 Networks в Украине, Азербайджане, Республике Беларусь, Грузии, Армении и Молдове.https://bakotech.com, [email protected], +38 044 273 33 33.
РАЗВЕРТЫВАНИЕ АВТОМАТИЧЕСКИ МАСШТАБИРУЕМОГО ФАЙРВОЛА BIG-IP VE WAF В AWS